工业互联网安全 课件 任务3 网络安全防护措施.pptx

任务3网络安全防护措施

工控防火墙是一款集多种智能引擎的工控系统网络安全防护产品。本任务主要讲解如何使用工业防火墙进行工业控制协议防护的方法，另外还介绍了有关网络安全防护的相关知识。任务描述了解工业防火墙，掌握工业防火墙的基础功能的使用。

工业防火墙的适用范围及作用1从全局整体来构建纵深防御安全体系，重要一环就是部署工业防火墙，作为多层纵深防御体系的重要防线和工业网络安全的重要基础保障措施。工业防火墙（IndustrialFirewall，IFW）适用于工业网络环境的、具有不同操作方法和目标的技术统称，在工业控制系统当中应用的防火墙，又称为工业控制防火墙(IndustrialControlFirewall，ICF)。知识导入

工业防火墙的适用范围及作用1（1）安全域间工业防火墙的适用范围及作用特征分析通常使用工业防火墙将工业网络划分为若干区域，通过定义各区域之间的访问控制策略来保证工业网络数据传输安全、抵御网络攻击。知识导入与传统IP网络环境中的防火墙类似，工业防火墙也是用于不同网络安全域之间隔离的物理或虚拟设备。

工业防火墙的适用范围及作用1（2）现场工控防火墙的适用范围及作用特征分析工业网络对实时性和可靠性要求很高，部署防火墙会占用一定资源，会牺牲一部分实时性，但绝不能认为工业防火墙可有可无，更不能将其视为隐患，而应视为IT、CT、OT深度融合形成工业互联网后不可或缺的安全基础防护手段。知识导入

工业防火墙的适用范围及作用1（3）工业Web应用防火墙的适用范围及作用特征分析工业互联网中Web应用广泛，特别是在企业管理层和现场管理层当中。WAF作为特殊的专用防火墙，可部署于Web服务器与其客户端之间。可在工业互联网平台将WAF部署为透明代理、反向代理、路由代理以及端口镜像等。检测方法方面，可采用基于规则和基于异常的方法。WAF还能监测输入数据引入的风险。知识导入

工业防火墙的各方面能力需求2（1）工业防火墙对工业环境适应性的能力需求及其解决方案在现场长期应用的工业防火墙，工作环境较为恶劣，必须具备工业环境适用性。建议采用尺寸紧凑、功耗低、集成度高、可靠性好、电磁兼容能力强的嵌入式工控机或定制工业级计算机作为工业防火墙承载平台，按照5～10年生命周期设计。知识导入

机械侵入能力工业防火墙必须具备机械侵入防护能力，硬件壳体应选用金属隔爆壳，至少要达到IP40以上(可有效防护直径1mm以上异物侵入)，辅以内部灌胶，以适应高尘、高污染工业环境。知识导入气候适应能力建议采用无风扇设计，具备强耐寒暑环境适应能力，工作宽温范围支持40～70℃，存储宽温范围支持40～85℃，湿度支持要求5%～95%无凝结。

电磁兼容能力工业现场常见的工业信号发生器、晶振、电动机、接近开关、工业继电器、焊机、FPGA、逻辑电路、可控硅逆变器、整流器、电晕放电等电磁噪声和电磁脉冲等，容易产生电磁兼容问题。知识导入机架规格需求及解决方案工业防火墙还需满足工业环境中的冲击、振动、拉伸等机械要求。工业防火墙有两种部署方式。一种是部署于生产制造工厂的厂房或车间的机房；另一种是导轨式工业防火墙。

工业防火墙的网络层控制能力需求及解决方案2（2）工业防火墙的网络层控制能力需求及其解决方案工控防火墙首先需要防护已知工业网络脆弱性，具备基础防火墙功能，实现基于主体、客体、角色、协议、资产、时间、访问控制列表等多元一体化访问控制。在IP网络隔离方面，不仅应具有安全域管理与访问控制、网络地址转换、用户身份认证等传统功能，还应用具有应用层控制、Web攻击防护、信息泄露防护、恶意代码识别以及IPS等新功能，可实现L2～L7数据包的细粒度过滤检测，同时具有用户、应用及内容识别能力。知识导入

安全域管理与访问控制能力此处主要涉及工业网络安全域管理、IP应用层协议访问控制以及IP网络应用内容访问控制问题。知识导入网络地址转换能力工业网络中仍大量使用IPv4地址，IPv4地址不足也是工业网络面临的一个重要问题。用户身份认证能力如果用户需要通过工业防火墙，可要求防火墙另一侧的被访问资源对其进行认证。

加密数据交换能力建议部署工业防火墙时，启用虚拟专用网网关功能。知识导入恶意代码、Web攻击及入侵防御能力恶意代码查杀可对各类蠕虫、病毒、木马、僵尸软件等进行查杀，并拦截HTTP、FTP等应用层协议夹杂的恶意代码。状态检测能力采用包过滤方式，防火墙只能按照预设的静态规则来过滤报文。状态检测的不足在于无法彻底识别数据包中的木马等恶意代码。

工业互联网安全措施3工业互联网安全是在明确防护对象、设定合理的安全目标后，通过配